Choć Komisja Europejska ponagla Warszawę postępowaniem naruszeniowym, projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa nadal czeka na akceptację Stałego Komitetu Rady Ministrów. Do czasu jego wejścia w życie — najwcześniej pod koniec 2025 r. — firmy nie mogą pozwolić sobie na bezczynność. Kluczowe obowiązki wynikające z dyrektywy NIS2 trzeba wdrożyć zawczasu, bo vacatio legis może okazać się symboliczne.
Termin implementacji dyrektywy NIS2 minął 17 października 2024 r., ale Polska wciąż nie ukończyła krajowych przepisów. Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC, sygnatura UC32) nadal przebywa w Stałym Komitecie Rady Ministrów. Ministerstwo Cyfryzacji poinformowało nas, że prace w rządzie mają zamknąć się „na przełomie czerwca i lipca”, po czym dokument trafi do Sejmu.
Zewnętrzne sygnały potwierdzają ten harmonogram. Najnowsza wersja projektu, opublikowana 6 czerwca, czeka na akceptację SKRM, a resort deklaruje chęć wysłania ustawy do parlamentu jeszcze przed wakacjami.
NIS2 nadchodzi. To warto wiedzieć
Zmiany między lutową a czerwcową edycją projektu są dla przedsiębiorstw ważnym sygnałem, że tekst nadal ewoluuje. Zredukowano na przykład częstotliwość obowiązkowych audytów zgodności do jednego co trzy lata i ograniczono je wyłącznie do podmiotów kluczowych, czyli największych operatorów infrastruktury krytycznej.
To powrót do minimalnych wymogów NIS2, ale wciąż nie wyczerpuje listy pytań o ostateczne kształty sankcji finansowych, dokładne progi klasyfikacji podmiotów ani o definicję łańcucha dostaw, którą firmy będą musiały monitorować.
Opóźnienie wynika z faktu, że ustawa dotyczy kilkudziesięciu sektorów i wymaga uzgodnień z licznymi ministerstwami, a także z tym, że projekt wprowadza nowe narzędzia nadzoru nad bezpieczeństwem narodowym. Komisja Europejska nie zaakceptowała jednak tak długiej zwłoki: 27 listopada 2024 r. wysłała do Warszawy formalne upomnienie, a 7 maja 2025 r. — uzasadnioną opinię. Polska ma czas do 7 lipca 2025 r. na przedstawienie wyjaśnień. Brak postępów może skutkować skargą do Trybunału Sprawiedliwości UE oraz karami finansowymi.
Co to oznacza dla przedsiębiorstw? Po pierwsze, większość wymagań – od zarządzania ryzykiem i raportowania incydentów, po kontrolę bezpieczeństwa dostawców – wynika bezpośrednio z dyrektywy i wejdzie w życie po publikacji ustawy bez długich okresów przejściowych. Po drugie, katalog podmiotów objętych nowymi obowiązkami jest szerszy niż w NIS1 i obejmie nie tylko energetykę, transport czy bankowość, lecz także usługi pocztowe, wytwarzanie produktów krytycznych oraz średnie przedsiębiorstwa IT.
Trzeba popracować nad własnym harmonogramem
Brak jasnego harmonogramu krajowego nie zwalnia organizacji z przygotowań. Firmy powinny już teraz wykonać mapowanie procesów pod kątem kryteriów NIS2, przeprowadzić wstępne analizy luk, zaktualizować plany reagowania na incydenty oraz zadbać o szkolenia zarządów, bo dyrektywa przewiduje odpowiedzialność menedżerską.
Dalsza część pod materiałem wideo:
Na co wciąż trzeba czekać? Przede wszystkim na ostateczny mechanizm notyfikacji i rejestracji podmiotów, szczegółowe progi definiujące podmiot „ważny” (important) w polskich warunkach oraz kompletne wytyczne dotyczące kontrolowanych łańcuchów dostaw.
Nie jest także przesądzone, czy nadzór nad wszystkimi sektorami skupi się w jednej administracji, czy zostanie rozdzielony między kilka resortów — ten podział decyduje o schemacie raportowania incydentów i wysokości opłat nadzorczych, które pojawiły się w jednej z wcześniejszych wersji projektu, a obecnie są w fazie korekt.
W praktyce oznacza to, że pierwszy realny termin wejścia w życie przepisów – po zakończeniu procedury sejmowej, senackiej i publikacji w Dzienniku Ustaw – przypadnie najwcześniej na przełom trzeciego i czwartego kwartału 2025 r. Do tego czasu firmy muszą przygotowywać się w oparciu o treść dyrektywy i najnowszą, publicznie dostępną wersję ustawy, traktując ją jako ruchomy cel. W obliczu presji Komisji Europejskiej trudno spodziewać się łagodnych okresów przejściowych, dlatego zwłoka z wdrożeniem wymogów może okazać się bardziej ryzykowna niż dziś się wydaje.
NIS 2 w Polsce wyraźnie spóźniona
Polska transpozycja NIS2 jest na ostatniej prostej w rządzie, ale wciąż przed kluczowym etapem prac parlamentarnych. Przedsiębiorstwa powinny śledzić kolejne wersje projektu ustawy, prowadzić własne analizy ryzyka i dostosowywać procedury, nie czekając na oficjalne daty.
W świetle postępowania naruszeniowego KE i możliwych sankcji lepiej wyprzedzić regulacje, niż liczyć na długie vacatio legis.
FAQ — NIS2 w Polsce
Czym jest dyrektywa NIS2?
NIS2 to unijna dyrektywa o wysokim poziomie wspólnego bezpieczeństwa sieci i informacji. Aktualizuje i rozszerza pierwszą dyrektywę NIS, narzucając ostrzejsze wymagania w zakresie zarządzania ryzykiem, raportowania incydentów i nadzoru nad łańcuchem dostaw.
Kogo obejmie NIS2 w Polsce?
Przepisy dosięgną tzw. podmiotów kluczowych (m.in. energetyka, transport, bankowość, infrastruktura cyfrowa) oraz podmiotów ważnych (np. usługi pocztowe, wytwórcy sprzętu krytycznego, średnie firmy IT). Kryterium to głównie wielkość przedsiębiorstwa i znaczenie dla gospodarki lub społeczeństwa.
Jakie są podstawowe obowiązki organizacji?
Firmy muszą wdrożyć system zarządzania ryzykiem, ustanowić procedury raportowania incydentów (24 h – zgłoszenie wstępne, 72 h – raport pełny), przeprowadzać okresowe testy i audytować bezpieczeństwo dostawców oraz utrzymywać plany ciągłości działania.
Jakie sankcje grożą za naruszenia?
Dyrektywa przewiduje administracyjne kary finansowe do 10 mln EUR lub 2 % globalnego obrotu (w zależności od tego, która kwota jest wyższa). Kierownictwo może ponosić odpowiedzialność osobistą za rażące zaniedbania.
Kiedy polska ustawa ma wejść w życie?
Projekt nowelizacji ustawy o KSC (UC32) jest w Stałym Komitecie Rady Ministrów. Rząd planuje zakończyć prace na przełomie czerwca i lipca 2025 r., a sejmową ścieżkę jeszcze przed końcem roku. Realny termin publikacji w Dzienniku Ustaw to IV kwartał 2025 r.
Czy trzeba przygotowywać się przed przyjęciem ustawy?
Tak. Większość wymogów wynika bezpośrednio z NIS2, a vacatio legis w Polsce może być krótkie. Organizacje już teraz powinny wykonać analizę luk, zaktualizować polityki bezpieczeństwa i przeszkolić kadrę zarządzającą.
Jak klasyfikowane są „podmioty kluczowe” i „ważne”?
Podmiot kluczowy to co do zasady przedsiębiorstwo zatrudniające ≥250 osób lub z obrotem ≥50 mln EUR w wysoko uregulowanym sektorze. Podmiot ważny spełnia co najmniej 50 pracowników lub 10 mln EUR obrotu, ale działa w sektorach o umiarkowanym znaczeniu.
Czy NIS2 wymaga audytów?
Tak. Podmioty kluczowe przechodzą audyt co trzy lata, natomiast podmioty ważne mogą zostać skontrolowane ad hoc, zwłaszcza w wyniku poważnego incydentu.
Jak raportować incydenty?
Zgłoszenie wstępne należy wysłać do CSIRT poziomu krajowego w ciągu 24 h od wykrycia. Pełny raport techniczny musi trafić do 72 h, a raport końcowy w ciągu miesiąca.
Jak NIS2 wpływa na łańcuch dostaw?
Organizacje muszą identyfikować krytycznych dostawców, oceniać ich środki ochrony i uwzględniać wyniki w umowach; niezgodność dostawcy może skutkować dodatkowymi sankcjami dla odbiorcy usług.
Czytaj też: